Critical Manufacturing Sector in the Bull’s-eye
2023/01/21 DarkReading — 製造業の4社に3社以上が、未パッチの深刻度の高い脆弱性をシステム内に抱えていることが、この分野に関する調査で明らかになった。SecurityScorecard による最新のテレメトリ測定では、これらの組織における深刻な脆弱性は、前年比で増加していることが示されている。同社の共同設立者/CEO である Aleksandr Yampolskiy は、「2022年において、我々のプラットフォーム上の製造業の IP アドレスから調べたところ、約 76% 組織でパッチが適用されていない CVE を発見された」と述べている。
また、製造業 (金属/機械/家電/電気機器/輸送など) の 40%近くが、2022年にマルウェア感染被害に見舞われている。
SecurityScorecard のセキュリティ評価プラットフォームでは、主要な製造業組織の約半数 (48%) が C から F の間のランクに評価されている。
このプラットフォームで分類されるリスクは、DNS の健全性/IP レピュテーション/Web アプリケーション・セキュリティ/ネットワーク・セキュリティ/流出情報/ハッカー・チャット/エンドポイント・セキュリティ/パッチ適用頻度などの、10個のグループで構成される。
Yampolskiy は、製造業に対するサイバー攻撃の深刻さは、注目に値するとしている。
彼は、「一連のインシデントの大半はランサムウェアによるものであり、グループの形態をとる脅威アクターたちが、恐喝により金銭を得ようとするのが通例だ。ランサムウェアの脅威は世界的な問題だが、主要なインフラへの攻撃では、さまざまな地政学的な目的を追求する国家的な行為によるものが増加している」と述べている。
その一方で、Dragos/IBM X-Force のチームによるインシデント・レスポンス調査では、最も注目度の高い OT (Operations Technology) ターゲットは製造業であり、これらの組織を攻撃する主要な武器として、現時点ではランサムウェアが圧倒的に多いことが明らかになった。
民主化されたサイバー・セキュリティ
Yampolskiy は、「ロシアにおける洗練された国家支援組織は、医療/エネルギー/通信など、米国内のさまざまな重要インフラ組織をターゲットにしている。その一方で、しでに各国の政府は、サイバー・セキュリティ強化のための措置を講じている」と述べている。
2022年に制定された米国の Cyber Incident Reporting for Critical Infrastructure Act of 2022 を例にとると、主要インフラは、DHS の CISA に特定のサイバー・インシデントを報告するよう義務付けられている。
その他の機関である、連邦エネルギー規制委員会/証券取引委員会/財務省なども、規制管轄下にある事業者向けに、さまざまな段階のルール作りを行っている。
Yampolskiy は、政策立案者は産業界と協力し、市民にとって不可欠なサービスや、米国経済全般に直接影響を与える産業のセキュリティ態勢について、より深く継続的に理解する必要があると述べている。
彼は、「世界の重要インフラを守るためには、グローバルな脅威の状況を継続的に把握し、官民が一体となってサイバー・セキュリティの回復に取り組む、より民主的で統合的なアプローチが不可欠だ」と述べ、政府と産業界の、さならる情報共有が重要であると指摘している。
製造業の 76% に深刻な脆弱性が、未パッチの状態で放置されているという状況ですが、最近のニュースを見ていれば、なんとなく妥当な数字だと思えてきます。ちょっと調べただけで、以下のようなニュースが見つかりました。
2023/01/11:Siemens PLC に修正不能な脆弱性
2022/11/04:LockBit の主張:自動車部品のデータを窃取
2022/10/11:Siemens PLC 深刻な脆弱性:秘密鍵リークの恐れ
よろしければ、2022/12/29 の「2023年の地政学を占う:国家に支援される脅威アクターは何を仕掛けてくる?」も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.